Stiefkind IT-Sicherheit - Mit der Betriebsgröße steigt das Sicherheitsbewusstsein

(openPR) Würzburg/Stuttgart - Zu wenig Aufmerksamkeit für das Thema IT-Sicherheit sehen Experten bei vielen Unternehmen. Insbesondere kleine und mittlere Unternehmen (KMU) vernachlässigen die Sicherheit ihrer Netzwerke und sind oft nicht ausreichend gegen Angriffe gewappnet. Zu diesem Ergebnis kam eine Expertenrunde, die bei den Vogel Business Medien http://www.vogel-medien.de in Würzburg stattfand. Die größten Gefahren gehen demnach von Viren und Würmern aus, die per E-Mail übertragen werden. "Ich sehe hier die E-Mail-Würmer als das größte Gefahrenpotenzial im Moment für ein Unternehmen", erläuterte der IT-Sicherheitsexperte Massimiliano Mandato vom Stuttgarter IT-Dienstleister Nextiraone http://www.nextiraone.de. Zwar gebe es auch andere Angriffsmöglichkeiten wie Industriespionage, deren Risiken aber eher für große Unternehmen bedrohlich seien. Michael Eberle, Leiter IT-Systeme der Vogel Services GmbH, sieht außerdem, dass vielen klein- und mittelständischen Unternehmen derzeit noch das Bewusstsein dafür fehlt. „Gerade kleine Unternehmen müssen größere Budgets für ihre IT-Sicherheit bereitstellen. Das Thema ist bei vielen Mittelständlern noch nicht angekommen: Einige unserer Kunden fühlen sich sicher wie in einer Rüstung, dabei stehen sie oftmals nur in Unterwäsche bekleidet da“, so Eberle.

Selbst in denjenigen Betrieben, die das Thema in der Geschäftsleitung vorantreiben würden, gebe es noch erheblichen Bedarf, die Mitarbeiter aufzuklären. Man könne allerdings von den Arbeitnehmern nicht erwarten, dass sie neben ihrem eigentlichen Aufgabengebiet auch noch über Detailkenntnisse der IT-Sicherheit verfügten. Der einzelne Mitarbeiter müsse sich beispielsweise nicht darum kümmern, ein Update durchzuführen. Die Komplexität, dass und wie ein Update gefahren werden müsse, liege beim IT-Dienstleister, so die Erfahrung von Nextiraone. Für Unternehmen sei der Aufwand, um 80 bis 90 Prozent aller Gefahren abzudecken, mit verhältnismäßig geringen Mitteln zu bewerkstelligen: Eine Firewall und ein flächendeckender Virenschutz. Lediglich die dann noch abzudeckenden 10 bis 20 Prozent seien tatsächlich entscheidend, um technisch hochwertige und für die jeweilige Firma gefährliche Angriffe abzuwehren. Um diesem Restrisiko zu begegnen, sei allerdings auch ein erhöhter finanzieller Aufwand nötig. Dieser wiederum schrecke besonders Mittelständler ab - je größer ein Betrieb, desto größer die Sensibilisierung für IT-Sicherheit.

"Es kommt darauf an, die kleinen und mittleren Unternehmen für das Thema zu gewinnen“, so Wolfram Zabel, Redaktionsleiter des Mittelstandsportals der Vogel Medien Gruppe http://www.clickmall.de. Den einfachsten Weg sieht Mandato darin, nicht die Zuständigkeit, sondern das komplexe Management für IT-Sicherheit auszulagern. Mittlerweile gebe es technische Entwicklungen, die es erlauben, "praktisch mit einem zentralen Klick den gesamten "Sicherheitszaun" meiner IT-Umgebung hochzufahren." Der externe Dienstleister könne auf Wunsch darüber hinaus „Testangriffe“ durchführen, um den Wirkungsgrad des Sicherheitssystems zu überprüfen. Diese sogenannten "Security-Audits" würden immer starker nachgefragt.

Einig waren sich die Experten, dass die Sensibilisierung der Mitarbeiter für IT-Sicherheit ein dauerhafter Prozess sei und sich nicht in Aktionismus erschöpfen dürfe, wenn gerade ein gefährliches Virus für öffentliche Aufmerksamkeit sorge. Wenn dann die Schäden geringer als angekündigt seien, lege sich die Aufregung schnell. Zudem gebe es keine belastbaren Daten über die tatsächlichen Schäden. Geschätzte Schadenskosten seien meist sehr schwammig und nicht nachvollziehbar. Eine Ursache hierfür sei, dass Unternehmen durch die Quantifizierung ihrer Schäden auch eine Aussage über den Stand ihrer Sicherheitsmaßnahmen abgeben würden. Daher sei es kaum möglich, so die Runde, Kosten für die IT-Sicherheit den Kosten möglicher Schäden und Ausfallzeiten gegenüber zu stellen. Das sei aber sinnvoll, um gerade kleineren Betrieben aufzeigen zu können, dass Investitionen in Sicherheitsstrukturen kostengünstiger seien als die Folgekosten möglicher Schäden. Zur Einführung eines Schadensregisters vertrat Wolfram Zabel die These, dass dies im Umkehrschluss eine Evaluierbarkeit des Virusprogrammierens nach sich ziehen könnte: Wer gezielt Angriffe plane, könne dann konkret überlegen, mit welchem Aufwand an Programmierarbeit er einen bestimmten Schaden anrichten könne.